Aktuelles, Branche, Gastbeiträge - geschrieben von cp am Donnerstag, April 6, 2023 15:59 - noch keine Kommentare
E-Mail: Einfallstor für Cyberkriminelle
Das Henne-Ei-Problem der Verschlüsselung
Von unserem Gastautor Szilveszter Szebeni, CISO von Tresorit
[datensicherheit.de, 06.04.2023] Eine forsa-Umfrage im Auftrag von Tresorit vom vergangenen Sommer kommt zu dem Ergebnis, dass ein knappes Viertel (23 Prozent) der befragten Unternehmen ab 50 Mitarbeitern in Deutschland ihre E-Mails ganz und weitere 60 Prozent teilweise verschlüsseln. Gleichzeitig gelingt es Cyberkriminellen weiterhin, sich über täuschend echt aussehende, aber unverschlüsselte E-Mails Zugang zu Unternehmensnetzen zu verschaffen. Im Folgenden wird der Frage nachgegangen, ob E-Mail-Verschlüsselung der Sicherheit zuträglich ist.
Im Rahmen der Umfrage wurden 100 Verantwortliche für IT-Sicherheit und Datenschutz sowie Geschäftsführer von Unternehmen ab 50 Mitarbeitern befragt. Neben dem hinsichtlich Datenschutz, Compliance und IT-Sicherheit erfreulichen Befund, dass mittlerweile über 80 Prozent der Unternehmen in Deutschland ihre E-Mail-Kommunikation zumindest teilweise verschlüsseln, berichtet mehr als die Hälfte der Befragten davon, dass sie einen Anstieg des Anteils verschlüsselter E-Mails in der Unternehmenskommunikation feststellen: Sieben Prozent sehen einen deutlichen Anstieg, knapp die Hälfte (48 Prozent) einen leichten.
Diese Umfrageergebnisse geben in der Tat Anlass zur Hoffnung, dass Cyberkriminelle immer weniger unverschlüsselte E-Mais als Einfallstor für ihre Angriffe nutzen können. Ob es sich dabei um gewöhnliche Spam-Nachrichten handelt, die sich an einen großen Empfängerkreis richten, oder um vermeintlich von Vorständen und Geschäftsleitungen (Stichwort „CEO Fraud“) stammende und gezielt an das Führungspersonal (Stichwort „Spear Phishing“) adressierte elektronische Nachrichten, spielt dabei eine untergeordnete Rolle. Das Ergebnis ist stets dasselbe: Datenspionage und -diebstahl oder das Einschleusen von Schadsoftware wie zum Beispiel Ransomware.
Leider jedoch scheint es vorerst bei der Hoffnung zu bleiben. So macht etwa die EU-Agentur für Cybersicherheit (ENISA) in ihrem aktuellen Lagebericht zu Cyberbedrohungen vom November 2022 Angriffe mit Ransomware als die aktuell größte Bedrohung aus, während das BSI in seinem Bericht „Ransomware“ zur Bedrohungslage 2022 banale Spam-E-Mails als Angriffstaktik identifiziert, die Cyberkriminelle weiterhin bevorzugen, weil sie damit erfolgreich sind.
Inhaltsverschlüsselung: Durchbruch steht aus
Der Trend zu Homeoffice und Neuordnung der Lieferketten hat zusammen mit einer verschärften Bedrohungslage zu einem größeren Sicherheitsbewusstsein in den Unternehmen geführt und den Anteil an verschlüsselter E-Mail-Kommunikation erhöht. Zwar wurde in der forsa-Befragung nicht zwischen Transport- und Inhaltsverschlüsselung unterschieden. Jedoch kommt in dem Bemühen, das bei Cyberkriminellen beliebte Einfallstor E-Mail-Kommunikation so weit wie möglich zu schließen, der Inhaltsverschlüsselung eine besondere Rolle zu: Verschlüsseln Versender ihre E-Mail-Nachrichten und deren Inhalte, ja sogar die Betreffzeilen in der E-Mail-Anwendung ihres Rechners, können Cyberkriminelle die Kommunikation nicht mehr mitlesen, selbst wenn sie die E-Mail-Server infiziert haben. Die Fälschungsversuche werden qualitativ schlechter und als solche leichter erkennbar, die Wahrscheinlichkeit erfolgreicher Ransomware-Angriffe sinkt.
Doch wie sehen das Entscheiderinnen und Entscheider in deutschen Unternehmen? Laut forsa-Umfrage sind rund 70 Prozent der Befragten der Meinung, dass E-Mail-Verschlüsselung dazu geeignet ist, Betrugsmaschen wie „CEO Fraud“ und „Spear Phishing“ zu vereiteln. Zwar wurde in der Studie nicht danach gefragt, ob E-Mail-Verschlüsselung auch dazu geeignet ist, Ransomware-Angriffe zu erschweren, aber da Cyberkriminelle sowohl bei den genannten Betrugsmaschen „CEO Fraud“ und „Spear Phishing“ als auch bei Ransomware-Attacken gefälschte E-Mail-Nachrichten als Angriffsmethode nutzen, erscheint das Studienergebnis durchaus auch auf Ransomware übertragbar – nicht zuletzt deshalb, weil laut ENISA-Bericht Ransomware-Angreifer neben eher gewöhnlichen Spam-Nachrichten auch auf ausgefeiltere Angriffstaktiken wie „Spear Phishing“ zurückgreifen.
Das Henne-Ei-Problem der E-Mail-Verschlüsselung
Das Haupthindernis, das der Verbreitung von Inhaltsverschlüsselung im E-Mail-Verkehr im Wege steht, ist ein klassisches Henne-Ei-Problem: Bei gängiger Ende-zu-Ende-Verschlüsselung müssen Sender und Empfänger dieselbe Lösung einsetzen, was in der Regel aber gerade nicht der Fall ist. Dass der im Grunde richtige Ansatz von De-Mail weitgehend aufgegeben und damit eine Chance auf die allgemeine Nutzung von E-Mail-Verschlüsselung in den Unternehmen und der Bevölkerung vertan wurde, lässt sich in erster Linie genau darauf zurückführen.
Im Umkehrschluss bedeutet das für eine ausreichend hohe Anwenderakzeptanz: Damit die Unternehmen entsprechende Angebote wahrnehmen und ihr Personal diese im Arbeitsalltag nutzt, müssen die verwendeten Lösungen auch dann funktionieren, wenn die Empfänger verschlüsselter Nachrichten nicht dieselbe Verschlüsselungslösung einsetzen wie die Versender. Ebenso wichtig ist, dass die Empfänger auf verschlüsselte Nachrichten mit verschlüsselten Antworten reagieren können.
Verschlüsselung braucht Vertrauen und Bedienkomfort
Zwar spricht gerade letzter Punkt für ein externes Angebot. Doch viele Unternehmen sind weiterhin skeptisch. Laut forsa-Studie begründet rund die Hälfte der Unternehmen, die bisher keinen externen Verschlüsselungsdienst nutzen oder wollen, dies unter anderem damit, dass Empfänger den gleichen Service nutzen müssten beziehungsweise dass der externe Anbieter auf die verschlüsselten Mails zugreifen könne. Und denjenigen Unternehmen, die bereits eine externe Verschlüsselungslösung nutzen oder dies planen, ist es fast ausnahmslos wichtig, dass sich der Service nahtlos in die eigene E-Mail-Umgebung einbinden beziehungsweise auch ohne vorherige Schulung einfach nutzen lässt. Darüber hinaus ist die Verfügbarkeit einer echten Ende-zu-Ende-Verschlüsselung für rund drei Viertel dieser Unternehmen ein wichtiges Entscheidungskriterium.
Vertrauen, Einfachheit und Integration sind also der Schlüssel für die erforderliche User-Akzeptanz und damit für eine flächendeckende inhaltsverschlüsselte E-Mail-Kommunikation im Geschäftsverkehr. Das sind sicherlich hohe Anforderungen an eine entsprechende Verschlüsselungslösung. Nur wenn sie erfüllt sind, lässt sich jedoch das Henne-Ei-Problem lösen und gleichzeitig für den notwendigen Integrationsgrad und damit Bedienkomfort sorgen.
Der Aufwand, geeignete Angebote im Markt zu evaluieren und zu abonnieren, lohnt sich für Unternehmen in jedem Fall. Schließlich verriegelt eine von Client zu Client verschlüsselte E-Mail-Kommunikation das derzeit am meisten missbrauchte Einfallstor für Cyberangriffe so gut wie keine andere Technologie.
Weitere Informationen zum Thema:
datensicherheit.de, 09.06.2022
E-Mails: Sicherheit funktioniert nur flächendeckend
datensicherheit.de, 20.07.2021
E-Mail-Verschlüsselung: Übersicht bei den Standards
Aktuelles, Experten - Dez 11, 2024 21:16 - noch keine Kommentare
„Power Off“: BKA meldet internationale Anti-DDoS-Operation gegen Stresser-Dienste
weitere Beiträge in Experten
- vzbv-Stellungnahme zum Forschungsdatenzugang: Mehr Transparenz auf digitalen Plattformen gefordert
- Bitkom artikuliert vorab Bedenken: KI-Stellungnahme des EDSA noch im Dezember 2024 erwartet
- Verbraucherzentrale reicht nach BGH-Urteil zu facebook-Datenleck Sammelklage ein
- Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
- Crimenetwork: BKA und ZIT gelang Abschaltung
Aktuelles, Branche, Studien - Dez 11, 2024 21:25 - noch keine Kommentare
Deepnude AI Image Generator: Cyber-Kriminelle lockten Opfer mit speziellem Köder
weitere Beiträge in Branche
- Mitarbeiterverhalten: CyberArk-Studie 2024 deckt Sicherheitsrisiken auf
- KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren